0
0
A Microsoft lançou as atualizações de segurança do Office em outubro de 2020 com um total de 24 atualizações de segurança e 5 atualizações cumulativas para 7 produtos diferentes, corrigindo 13 vulnerabilidades que poderiam permitir que invasores remotos executasse códigos arbitrários em sistemas vulneráveis.
O destaque das atualizações de segurança do Microsoft Office deste mês é, sem dúvida, cve-2020-16947, uma vulnerabilidade de execução remota de código que leva à execução remota de código ao visualizar ou abrir e-mails maliciosamente criados com uma versão vulnerável do Microsoft Outlook.
A exploração também pode ser alcançada em um cenário de ataque baseado na Web através de sites usados para hospedar arquivos especialmente criados projetados para explorar o CVE-2020-16947.
Quando explorado com sucesso, o bug permite que os invasores executem código arbitrário no contexto do usuário do Sistema. Os invasores também podem assumir o sistema-alvo se o usuário atualmente conectado tiver direitos administrativos ao usuário.
O CVE-2020-16947 afeta vários produtos do Office, incluindo o Microsoft Outlook 2016 e o Microsoft Office 2019, bem como os aplicativos Microsoft 365 para empresas.
Lista de problemas de segurança do Escritório corrigidos este mês
As atualizações de segurança do Patch Tuesday Office de outubro de 2020 abordam a execução remota de código (RCE), o bypass de segurança, a elevação do privilégio, a negação de serviço, a divulgação de informações e as vulnerabilidades de scriptagem entre sites em sistemas Windows que executam edições vulneráveis do Microsoft Installer (.msi) e clique para executar edições de produtos do Microsoft Office.
A Microsoft classificou as 11 falhas de segurança RCE corrigidas este mês Problemas críticos ou importantes de gravidade, visto que eles poderiam permitir que os invasores executem código arbitrário no contexto do usuário atual após uma exploração bem-sucedida.
Os invasores poderiam então instalar programas maliciosos, visualizar, alterar e excluir dados, bem como criar suas próprias contas de administração desonestos em dispositivos Windows comprometidos.
| Tag | CVE ID | Título | Gravidade |
| Microsoft Office | CVE-2020-16933 | Vulnerabilidade do recurso de segurança do Microsoft Word | Importante |
| Microsoft Office | CVE-2020-16929 | Vulnerabilidade de execução de código remoto do Microsoft Excel | Importante |
| Microsoft Office | CVE-2020-16934 | Microsoft Office Click-to-Run Elevação da Vulnerabilidade de Privilégio | Importante |
| Microsoft Office | CVE-2020-16932 | Vulnerabilidade de execução de código remoto do Microsoft Excel | Importante |
| Microsoft Office | CVE-2020-16930 | Vulnerabilidade de execução de código remoto do Microsoft Excel | Importante |
| Microsoft Office | CVE-2020-16955 | Microsoft Office Click-to-Run Elevação da Vulnerabilidade de Privilégio | Importante |
| Microsoft Office | CVE-2020-16928 | Microsoft Office Click-to-Run Elevação da Vulnerabilidade de Privilégio | Importante |
| Microsoft Office | CVE-2020-16957 | Vulnerabilidade de execução remota do mecanismo de conectividade do Microsoft Office Access | Importante |
| Microsoft Office | CVE-2020-16918 | Vulnerabilidade de execução de código remoto base3D | Importante |
| Microsoft Office | CVE-2020-16949 | Vulnerabilidade de negação de serviço do Microsoft Outlook | Moderada |
| Microsoft Office | CVE-2020-16947 | Vulnerabilidade de execução de código remoto do Microsoft Outlook | Crítico |
| Microsoft Office | CVE-2020-16931 | Vulnerabilidade de execução de código remoto do Microsoft Excel | Importante |
| Microsoft Office | CVE-2020-16954 | Vulnerabilidade de execução remota de código do Microsoft Office | Importante |
| Microsoft Office | CVE-2020-17003 | Vulnerabilidade de execução de código remoto base3D | Crítico |
| Microsoft Office SharePoint | CVE-2020-16948 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16953 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16942 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16951 | Vulnerabilidade de execução remota do Microsoft SharePoint | Crítico |
| Microsoft Office SharePoint | CVE-2020-16944 | Vulnerabilidade XSS reflexiva do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16945 | Vulnerabilidade do Microsoft Office SharePoint XSS | Importante |
| Microsoft Office SharePoint | CVE-2020-16946 | Vulnerabilidade do Microsoft Office SharePoint XSS | Importante |
| Microsoft Office SharePoint | CVE-2020-16941 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16950 | Vulnerabilidade de divulgação de informações do Microsoft SharePoint | Importante |
| Microsoft Office SharePoint | CVE-2020-16952 | Vulnerabilidade de execução remota do Microsoft SharePoint | Crítico |
Atualizações de segurança do Microsoft Office em outubro de 2020
As atualizações de segurança do Microsoft Office deste mês são entregues através da plataforma Microsoft Update e através do Download Center.
Para baixar as atualizações de segurança do Microsoft Office de outubro de 2020, clique no artigo da base de conhecimento correspondente abaixo e, em seguida, role até a seção ‘Como baixar e instalar a atualização‘ para obter as atualizações do seu produto Office.
Mais informações, incluindo IDs CVE, estão disponíveis nos artigos da base de conhecimento vinculados abaixo.
Microsoft Office 2016
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Excel 2016 | Atualização de segurança para Excel 2016 (KB4486678) |
| Escritório 2016 | Atualização de segurança para o Office 2016 (KB4486682) |
| Escritório 2016 | Atualização de segurança para o Office 2016 (KB4484417) |
| Outlook 2016 | Atualização de segurança para o Outlook 2016 (KB4486671) |
| Palavra 2016 | Atualização de segurança para Word 2016 (KB4486679) |
Microsoft Office 2013
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Excel 2013 | Security update for Excel 2013 (KB4486695) |
| Office 2013 | Security update for Office 2013 (KB4486688) |
| Office 2013 | Security update for Office 2013 (KB4484435) |
| Outlook 2013 | Security update for Outlook 2013 (KB4484524) |
| Palavra 2013 | Atualização de segurança para Word 2013 (KB4486692) |
Microsoft Office 2010
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Excel 2010 | Security update for Excel 2010 (KB4486707) |
| Office 2010 | Security update for Office 2010 (KB4486700) |
| Office 2010 | Security update for Office 2010 (KB4486701) |
| Outlook 2010 | Security update for Outlook 2010 (KB4486663) |
| Word 2010 | Security update for Word 2010 (KB4486703) |
Microsoft SharePoint Server 2019
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Servidor on-line do Office | Atualização de segurança para Servidor On-line do Office (KB4486674) |
| SharePoint Server 2019 | Atualização de segurança para SharePoint Server 2019 (KB4486676) |
Microsoft SharePoint Server 2016
| Produto | Artigo da Base de Conhecimento |
|---|---|
| SharePoint Enterprise Server 2016 | Atualização de segurança para SharePoint Enterprise Server 2016 (KB4486677) |
Microsoft SharePoint Server 2013
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Office Web Apps Server 2013 | Atualização de segurança para o Office Web Apps Server 2013 (KB4486689) |
| Servidor de Projetos 2013 | Atualização cumulativa para Project Server 2013 (KB4486691) |
| SharePoint Enterprise Server 2013 | Atualização de segurança para SharePoint Enterprise Server 2013 (KB4486687) |
| SharePoint Enterprise Server 2013 | Atualização cumulativa para SharePoint Enterprise Server 2013 (KB4486693) |
| SharePoint Foundation 2013 | Atualização de segurança para SharePoint Foundation 2013 (KB4486694) |
| SharePoint Foundation 2013 | Atualização cumulativa para SharePoint Foundation 2013 (KB4486690) |
Microsoft SharePoint Server 2010
| Produto | Artigo da Base de Conhecimento |
|---|---|
| Project Server 2010 | Cumulative update for Project Server 2010 (KB4486702) |
| SharePoint Foundation 2010 | Security update for SharePoint Foundation 2010 (KB4486708) |
| SharePoint Server 2010 | Security update for SharePoint Server 2010 (KB4484531) |
| SharePoint Server 2010 | Atualização cumulativa para o SharePoint Server 2010 (KB4486705) |
| SharePoint Server 2010 Excel Web App | Atualização de segurança para o SharePoint Server 2010 Excel Web App (KB4462175) |
Outubro 2020 Patch Tuesday atualizações de segurança
Ontem, Redmond também lançou as atualizações de segurança do Patch Tuesday de outubro de 2020 com atualizações de segurança para 87 vulnerabilidades, sendo 12 classificadas como Críticas, 74 como Importantes e uma como moderada.
Atualizações não-seguranças do Windows com correções e melhorias também foram emitidas ontem com o Windows 10 KB4579311 & KB4577671 Atualizações Cumulativas.
Como parte do Patch Tuesday deste mês, a Microsoft também abordou uma vulnerabilidade crítica na pilha De IPC/IP do Windows rastreada como CVE-2020-16898 e apelidada de ‘Bad Neighbor’.
O Comando Cibernético dos EUA alertou os clientes da Microsoft para corrigir imediatamente o bug do Bad Neighbor conhecido por afetar várias plataformas de clientes (Windows 10) e servidor (Windows Server).
FONTE: BLEEPING COMPUTER